[转载]木马修改:关于复合特征码原理和查找
文章作者:乱刀信息来源:幻影
木马修改:关于复合特征码原理和查找
杀毒软件的复合特征码真是难倒偶们, 但是仔细看还是有规律的
下面给几个图, 因为本人艺术细胞原因 所以点到为止
---------------------------------------------------------------------------------- 比如这一段为程序
-----c--a------b---a----c--d-------b-------------------------------a------d---c------d---a---b- 这是某一个杀毒软件的特征码
abcd 所有都在的情况下, 木马可以被杀到 不管有几个a 或者几个b
X是我们开始的位置 X右面全部归0 X左面还原代码
------c--a------b---a----c-X-d-------b-------------------------------a------d----c------d---a---b-
X以前的代码全部还原, 当还原到第1个d 的时候,abcd同时存在, 木马被杀到 我们找到了第1个d的地址 修改他 然后继续
------c---a------b---a----c----------b-------------------------------a------d-X-c--------d---a---b-
现在来到第2个 d 又形成了abcd同时在 又能被杀到了。 我们就找出第2 个d 改掉
---------a------b---a------c--d-------b-------------------------------a-----------c-----X-d---a---b-
来到了第3个d 又形成了abcd同时在 我们改掉他以后 整个文件只剩abd 不会报警
同理 , 我们的X 开始位置 决定了我们可以找到哪个字母 如果从右面开始 先找到的是c
-----c--a------b---a----c--d-------b-------------------------------a------d--X-c------d---a---b-
如果开始在这里, 我们就可以找到所有的c
这就是为什么 我们都改了木马,但是木马特征的位置又不一样的原因, 因为有人改了a 有人却改了c
至于配合他的工具, 1 文件还原器 定义还原起始位置 和 每次覆盖时间,每次还原大小, 打开杀毒软件自动监视功能,查到毒就自动记录
2 文件00覆盖器, 把文件不断覆盖为00 从X开始, X 可以规定起始位置和每次覆盖大小 每次覆盖时间
工具:_blank">[url]http://ys-h.ys168.com/ys168up/D4/?M...b1f9b0b0fc1fd3z[/url]
工具提供 , 感谢作者Tanknight, 联系作者QQ:4984042 本版更新至0。9
使用录象在幻影ftp里有
jzps: 工具个人检测安全无问题。上传。
页:
[1]